» »

Trojanski konj

Trojanski konj

KaiCris ::

Zdravo!

Pred kakšnim tednom sem ugotovil, da imam na računalniku trojanskega konja, ko me je Avast začel opozarjati na težavo. V bistvu gre kar za dve različici: win 32:Horst-DZ in win 32:Agent-VM. Zadeva se širi, vsake toliko dobim avastovo opozorilo o novih datotekah, ki vsebujejo vzorec enega ali drugega in tiste datoteke pač premaknem (kot je svetovano) v virusni zabojnik. Kako se lahko rešim trojanskega konja? Lahko to naredim sam ali je bolje, da peljem računalnik na servis?

AndrejS ::

Zaženi full system scan da vidiš kaj imaš vse okuženo.

KaiCris ::

Po full system scanu sem ugotovil, da imam še te trojanske konje: win 32:Medbot-AT, win 32:Horst-EA. Okuženih datotek je 416, vse pa so v Documents And Settings/Uporabniški Račun 1/Local Settings/Temp in Documents And Settings/Uporabniški Račun 2/Local Settings/Temp.

Jakka ::

Vsebino obeh map pobriši in ponovno poskeniraj zadevo. Verjetno jih ne bo več. :D

Vsebino map pa lahko brez problema zbrišeš, ker so to samo začasne datoteke.

KaiCris ::

Vsebino obeh map sem pobrisal in po ponovnem skeniranju jih seveda ni bilo več, vendar se še vedno pojavljajo nove okužene datoteke. Ponovno v Documents And Settings/Uporabniški Račun 1/Local Settings/Temp in Documents And Settings/Uporabniški Račun 2/Local Settings/Temp in pa še ena v System Volume Information/_restore.....
Obstaja sploh rešitev, da se za vedno rešim trojanskega konja?

Izi ::

Obstaja sploh rešitev, da se za vedno rešim trojanskega konja?

Obstajata celo dve rešitvi (in nobena ti ne bo všeč >:D )

Prva je programček "HijackThis", ki sam posebi ne dela nič, samo pokaže ti kaj se zaganja ob zagonu računalnika.
Tam morač najprej onemogočiti zagon vse zle kode, ki jo imaš na računalniku. Nato resetiraš računalnik in ročno pobrišeš vso to zalego.
Zgleda enostavno ampak verjemi, da ni :D . Tega se loti samo če se poznaš na vse procese, ki ti tečejo v ozadju in poznaš datoteke, ki poženejo kakšen proces.
Torej par minut dela, če točno veš kaj počneš.

Druga rešitev je pa klasika. Popolno formatiranje trdega diska in ponovna namestitev OS.
Formatiranje je nujno. Samo instalacija preko starih Windows ne pomaga.


Svetujem prvo rešitev, ampak boš verjetno rabil pomoč.
Lahko pošlješ spisek, ki ga naredi programček "HijackThis" po skeniranju računalnika, pa ti bomo svetovali katere procese moraš najprej izklopiti.

dj cotto ::

Kakšno formatiranje neki?!

Če se ti okužene datoteke res pojavljajo le v Temp mapah, izklopi System Restore, zaženi računalnik v varnem načinu, ter odstrani Temp mape in to je to.

Izi ::

dj cotto, trojanci so precej bolj nadležni kot "navadni" virusi, ki so zaradi antivirus programov že skoraj izumrli.

Naselijo se najprej v sistemske mape, in si nadenejo imena, ki so enaka najpomambnejšim sistemskim datotekam, tako, da navadni uporabniki do njih sploh nimajo dostopa kaj šele, da bi jih našli.
Vedno je vsaj na treh različnim mestih z različnim imenom.
Svoj zagon zapišejo v register in dokler njihov zagon ne odstraniš iz registra jih niti zbrisati ne moreš, če pa že nekako zbrišeš enega se isti hip naredi novi.
Nato se kopirajo po disku in ti lahko normalno brišeš tiste, ki so narejeni na novo, ker še niso zagnani. Zaženejo se samo ob zagonu računalnika in skrbijo, da je v registru vedno dovolj vpisov za zagon iz različnih mestna disku za vsak slučaj, če kakšnega najdeš.

To počno vsi. Kaj dodatno počno pa je odvisno od njihove različice, ki jih je na milijone in vsak dan je nekaj 10 novih različic.

Večina odpre backdoor, da se da na računalnik povezati preko HTTP,
ponavadi naredijo iz tvojega računalnika Proxy server, da lahko "hackerji" surfajo bolj anonimno :D . Spiske teh Proxijev najdeš povsod na internetu in vsak dan nam je na voljo na tisoče novih neprostovoljnih Proxijev povsod po svetu.
Potem dostikrat v registru spreminjajo nastavitve, kot naprimer izklopijo bolj znane Firewalle in obveščanje antivirus programov, da so našli virus se nastavi na tihi način, da se uporabnik ne vznemirja brez potrebe >:D
Potem začno iz interneta vleči nove programe in jih nameščati na računalnik. Lahko si misliš, da v večini primerov ti novi programi spet vsebujejo nove različice črvov in tako si ob vsakem ponovnem zagonu računalnika bolj in bolj okužen.

Programčkov, ki bi odstranili teh milijone različnih trojancev ni in najhitrejše je ročno odstranjevanje, ki se mora začeti nikjer drugje kot v registru, kjer moraš najprej preprečiti njihov zagon ...

KaiCris ::

OK, tole je spisek, ki mi ga je naredil HijackThis


Logfile of HijackThis v1.99.1
Scan saved at 17:38:57, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink1\PowerDVD\PDVDServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\WinAce\WinAce.exe
C:\DOCUME~1\CM\LOCALS~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.htm...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.htm...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.htm...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.htm...
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~2\BEARSH~2\MediaBar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink1\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] FIFA Football 2007
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Slow Lies Owns Spam] C:\Documents and Settings\All Users.WINDOWS\Application Data\viewdriveslowlies\heart dvd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O9 - Extra button: Raziskovanje - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me...
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C807CF4E-26BD-40FF-B1CD-21E938AB7088}: NameServer = 212.93.226.5 212.93.226.6
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Zgodovina sprememb…

  • spremenil: KaiCris ()

Izi ::

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] FIFA Football 2007
Hehehe, tale vrstica me je pa nasmejala :D To kar mirno izbriši.

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Tole je pa tvoj trojanec. Tudi to vrstico moraš izbrisati.

Pred obe vrstice daj kljukico, da jih bo program zbrisal iz registra.
Nato resetiraj računalnik in pojdi v "C:\WINDOWS\system\" in ročno izbriši trojanca, ki se skriva v datoteki "smss.exe".
Nekaj kopij trojanca bo verjetno še vedno na disku ampak dokler niso zagnane so neškodljive.
Zato preskeniraj celoten računalnik z več različnimi antivirusi in odstranjevalci trojancev in črvov (Ad-Aware in podobno).
To bi moralo zadostovati.

Upam, da nisem kakšnega spregledal med vsemi tistimi programčki, ki ti tečejo v ozadju :D

amigo_no1 ::

Ko si že pri čiščenju odstrani še tole:

R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll

O4 - HKLM\..\Run: [Slow Lies Owns Spam] C:\Documents and Settings\All Users.WINDOWS\Application Data\viewdriveslowlies\heart dvd.exe

Briši v Safe mode načinu (F8 ob zagonu windowsev)

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

DonPierre ::

Ko je ravno odprta tema in ste me v paniko spravli - a je dovolj že smss.exe al more bit smss.exe/n. Ker men prvega kaže med procesi.

Tnx

R33D3M33R ::

V avastu izberi skeniranje ob naslednjem zagonu (Schedule Boot time scan) pa se boš virusov na lahek način znebil.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

amigo_no1 ::

Če je v mapi C:\WINDOWS\system\ in ne C:\WINDOWS\system32\ .

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

Izi ::

Pierre :), eden smss.exe mora biti med procesi. To je Session Manager Subsystem in upravlja z "sessioni" na tvojem računalniku. Mora biti v system32 direktoriju.

Če pa imaš dva pa je drugi sigurno trojanec, ki skrbi, da je tvoj računalnik odprt za brskanje z oddaljene lokacije >:D

jan01 ::

hijackthisov log se skopira v http://www.hijackthis.de in hitro ugotovis kaj je narobe.

Posnemi še kak antispyware(ewido, webroot spy sweeper, spyware doctor) in lahko bi imel kak firewall(free a odličen comodo)

KaiCris ::

OK, jaz sem sledil vašim navodilom, vsaj mislim da, ampak avast še kar veselo tuli in zavija, da so okužene nove datoteke. Ponovno sem skeniral s hijackthis-om in logfile analiziral na hijackthis.de, ki mi je kot kritično poslal tole:

O4 - HKLM\..\Run: [.nvsvc] C:\Documents and Settings\CM\Application Data\smss.exe /w

Problem je le, da ne vem kako naj pridem do tega in izbrišem, ker v mapi CM ni mape Applicattion Data.

amigo_no1 ::

Seveda je : toda če uporabljaš Explorer ti privzeto NE prikaže skritih map :D

control panel / folder options /View



Kolega uporablja prevx .

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

KaiCris ::

Ja zdaj sem našel, hvala. Kot ste do zdaj verjetno že ugotovili, nimam ravno kakšnega norega računalniškega znanja, zato me zanima še nekaj. V mapi applicattion data je bil programček smss, ki sem ga izbrisal. Ali je to vse kar sem moral narediti, ali je še kaj drugega, kajti hijackthis mi še vedno izpisuje to vrstico kot kritično, čeprav je smss izbrisan. Ni mi najbolj jasno, kaj pomeni smss.exe/w in ali je to izbrisano, če se izbriše datoteka z naslovom (oz programček) smss.

Zgodovina sprememb…

  • spremenil: KaiCris ()

Izi ::

KaiCris, nisi sledil našim navodilom, kot praviš.
Rekel sem, da v programčku "HijackThis" pred vrstice, ki jih misliš izbrisati vstaviš kljukice.
Ali si to naredil?
Vsaka vrstica ima pred seboj kvadratek.
Ko si označil vrstice, ki smo ti jih navedli, moraš klikniti gumb "Fix checked" in takrat se ti bodo iz registra ozbrisale tiste vrstice za zagon trojancev.
Nato resetiraš računalnik, da se procesi, ki jih vodi trojanec ugasnejo.
Nakoncu pa brišeš še datoteke iz diska.

Če nisi delal v tem zaporedju, ti je trojenec sproti izdeloval nove kopije in zapisoval nove zagonske vrstice v register in nisi naredil nič.

R33D3M33R ::

Avast ti v boot scan modusu zagotovo odstrani vse! Če pa uporabljaš MSN Messenger ga pa lepo odstrani in ponovno namesti. To je morda zadeva, ki ti vedno znova downloada nove viruse.
Sem namreč pri kolegici naletel na podoben problem. Messengerjev exe se je nadomestil z nekim programom, ki je sproti downloadal nove viruse in pri tem kljub temu zagnal MSN Messenger, kot da nič ne bi bilo narobe.

Torej odstrani messengerja, zbriši njegovo mapo v Program Files in ponovno namesti zadevo!
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

KaiCris ::

Kot vse kaže, mi je sedaj uspelo. :)

Očitno sem prej res nekaj narobe naredil oz. v napačnem zaporedju. Hvala vsem za pomoč, če mi pa še kaj ne bo jasno, se pa oglasim.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

analiza hijack this

Oddelek: Pomoč in nasveti
171941 (1721) klaudija
»

problem z odpiranjem strani v IE

Oddelek: Omrežja in internet
251974 (1789) bbf
»

problem z računalnikom!!

Oddelek: Pomoč in nasveti
112297 (2096) mjk
»

Trojan big problem:(

Oddelek: Strojna oprema
133811 (3604) mini-moris
»

zajedalski spyware

Oddelek: Operacijski sistemi
212606 (2273) hunter01

Več podobnih tem